I 



® REPUBUQUE FRANQAISE 

INSTTTUT NATIONAL 
DE LA PROPRIETE INDUSTRIELLE 



PARIS 



(rj)N 0 de publication: 2833 119 

{& nXjtillser que pour las 
commandos do reproduction) 

@ N° d'enregtetrement national : 01 15529 

©IntCI 7 : H 04 L 9/06, G 06 K 19/073, H 04 L 9/32 



DEMANDE DE BREVET DiNVENTION 



A1 



(§) Date de depot : 30.1 1 .01 . 
(f§) Priority : 


(71) Demandeur(a) : STMICFtOELECTRONtCS SA 
Sod6te anonyme — FFL 


@) Date de mlse a la disposition du public de la 
demande : 08.08.03 Bulletin 03/23. 


(§) lnventeur(8) : WUIDAFTT LUC, BARDOUILLET 
MICHEL et PLAZA LAURENT. 


@) Liste des documents cites dans le rapport de 
recherche prglimlnalre : Se reporter £ la fin du 
present fascicule 




References a d'autres documents natlonaux 
ap parentis : 


@)ritulalre(s) : 

@ Mandataire(s) : CABINET MICHEL DE BEAUMONT. 



< 

I 



@) GENERATION DE QUANTTTES SECRETES D' IDENTIFICATION D'UN CIRCUIT INTEGRE. 



(5y L'lnvention conceme un proc$d$ et un circuit de gene- 
ration cf une quantite secrete (KEY) a partlr cf un Identlfiant 
ctun circuit Integra (2), dans lesquels on g6nere un premier 
mot numerlque & partlr cf un reseau de parametres physi- 
ques (3), et on soumet ce premier mot & au molns un regis- 
tre & decalage k retroaction Unfair© (6), la sortie dudit 
reglstre a decalage constituant ladite quantite secrete. 
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GENERATION DE QUANTOTES SECRETES D 1 IDEMTIFIC3CTION D'UN CXRCDXT 

JNTE6RE 



La pr€sente Invention concerne 1 T utilisation d'une 
quantite secrete issue d'un circuit intSgrS ou d'un 61§roent de 
sous -ensemble gleet ranique cantenant un tel circuit. Par 
exemple, 1' invention concerne 1 9 utilisation d'une telle quantity 
5 secrete par des programmes en tant que cl6 de chif f rement , en 
tant que quantite secrete d'un processus d 1 identification ou 
d' authentication du circuit integre. L' invention concerne plus 
particulierement 1 ' utilisation d'un identifiant numerique d'une 
puce de circuit int6gr6 issu d'un reseau de parametres physiques 

10 li€s a la fabrication de la puce de circuit intggre. 

L' utilisation d'un identifiant issu d'un rSseau de 
param&tres physiques, par exea^Le, pour authentif ier une puce de 
circuit int6gr6 ou pour chiffrer une dormSe qu'elle fournit, est 
de plus en plus recherchSe dans la mesure oil cela pennet 

15 d'utiliser un mot binaire cache ou enfoui dans le circuit 
integre sans devoir pour autant le stocker & demeure dans un 
616ment de memorisation piratable. On. antSliore ainsi la 
fiabilitg du syst&me contre des fraudes €ventuelles. De plus, 
le recours k un rgseau de paramStres physiques permet 

20 d'obtenir des identifiant s nuroSriques distincts les uns des 
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autres pour differentes puces de circuit integre issues d'une 
fabrication donn£e. 

General eraent , 1' identifiant numfirique du circuit 
integre est fourni Sl l'exterieur du circuit aprSs avoir §tS le 
5 cas Sch6ant codfi ou brouill€ pour Stre transmis vers un 
sy st erne distant. Ce dernier exploite le mot qu'il regoit, 
ggn&ralement sans avoir Sl cormaltre 1 r identifiant . 

Un exenple d 1 application de 1 T invention concerne le 
doatiaine des cartes a puce utilisfies pour des transactions 
10 financiferes & partir d T unites de carcpte prSpaySes ou nan, que la 
transmission soit avec ou sans contact avec le lecteur de carte 
a puce. 

Un autre exemple d r application concerne les systeraes 
de transmission de donnfees utilisant un dficodeur persannalisS 
15 cote utilisateur. Dans un tel cas, le decodeur peut corqprendre 
un circuit d' authentif ication exploitant un identifiant issu 
d f un rSseau de parametres physiques d f un circuit integr€ qu T il 
cantient. Par analogic avec les lecteurs de carte Sl puce 
utilises dans les syst&nes de paiement, cela revient au meme que 

2 0 si l'on combine un lecteur avec sa carte a puce chez 

1 'utilisateur, 1 1 authentif ication restant faite par un systdme 
different du lecteur . 

tfo inconvenient du recours Sl un identifiant d'un 
circuit integrS issu d'un rfiseau de param&tres physiques est lie 

25 Sl son caractere individiiel et irarauable. 

Ainsi, dans le cas oil 1 1 identifiant ou un not 
numSrique (quantity d 1 authentif ication ou cle de chiffrement) 
contenant cet identifiant parvient a Stre pirate par un 
fraudeur, il n' exist e plus d f autres solutions que de changer le 

30 circuit int6gre. En effet, & partir du moment od l'on. suspecte 
que 1" identifiant a et6 piratS, il est souhaitable dans les 
applications sficurisSes de ne plus utiliser cet identifiant. Ce 
phSnomSne est g&i£ralement cconu sous le nom de revocation d T une 
cl§ de chiffrement ou d'un authentif iant, ou plus gSneralement 

3 5 d'une quantity secrSte. 
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jj i absence de solution & la revocation d'une cl6 ou 
quantity secrete basSe sur 1 'utilisation d'un reseau de 
parametres physiques d'un circuit integre limite actuellement 
1' utilisation de ces identifiants qui sont pour le reste tres 
avantageux. 

La presente invention vise a pallier les inconvenients 
connus de 1 ' utilisation d'un identiflant nutnerique issu d'un 
reseau de parametres physiques dans un circuit integre. 

L ' invention vise, plus particulierement, a permettre 
la revocation d'une quantity ou cle secrete basee sur un 
identifiant issu d'un reseau de parametres physiques sans pour 
autant qu'il soit necessaire de changer le circuit integre 
concerne. 

On pourrait penser multiplier le nombre de reseaux de 
parametres physiques pour multiplier le nombre d' identifiants 
numeriques possibles en cas de revocation. Une telle solution 
presente toutefois 1 ' inconvenient d'etre encombrante dans le 
circuit integre. De plus, le nombre d' identifiants possibles 

reste tres limite. 

En outre, on peut rechercher une taille de quantitS 
secrete qui soit superieure a la taille du mot issu du reseau de 
parametres physiques. 

Ufa autre objet de la presente invention est de 
proposer une solution qui ne supprime pas le caractere 
individuel de 1 • identifiant du circuit integre au raoyen d'un 
r6seau de parametres physiques. 

Ij ' invention vise egaleraent a proposer une solution qui 
soit compatible avec la miniaturisation des circuits integres. 

L ' invention vise egalement a proposer une solution qui 
soit transparente cote systeme d' exploitation de la quantite 
secr&te, c'est-a-dire qui ne necessite pas que celui-ci 
connaisse les moyens utilises pour rendre plus sure la quantite 
secrete. 

Pour atteindre ces objets et d'autres, la presente 
invention prevoit un precede de generation d'une quantite 
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secrete a partir d T un identifiant d'un circuit integrfe, 
caroprenant les Stapes suivantes : 

genfirer un premier mot nuiaSrique a partir d'un reseau 
de pararuStres physiques ; et 
5 soumettre ce premier mot a au nioins un registre a 

decalage a retroaction, la sortie dudit registre a decalage 
constituant ladite quantite secrete* 

Selon un mode de mise en oeuvre de la pr§senfce 
invention, on sournet le premier mot a plusieurs registres a 
10 decalage a retroaction, et on sfilectiarme l'un de ces registres 
pour constituer la quantite secrete. 

Selon un mode de mise en oeuvre de la prSsente 
invention, la selection est destinge a Stre modif iee suite a une 
revocation d'une quantity secrete precedente . 
15 Selon un mode de mise en oeuvre de la presente 

invention, le ou les registres a decalage sont a retroaction 
lineaire . 

Selon un mode de mise en oeuvre de la prSsente 
invention, on sSlectionne un registre a decalage parmi plusieurs 
20 au moyen d r un seiecteur. 

L 1 invention prevoit egalement un circuit de generation 
d'une quantite secrdte interne a un circuit integr€, 
ccarnportant : 

un gen6rateur d'un premier mot numerique propre a la 
25 puce de circuit integre base stir un reseau de paramStres 
physiques ; 

au moins un registre a decalage a retroaction destine 
a recevoir en entree le premier mot et a f ournir ladite 
quantite / et 

30 un seiecteur de la sequence de derivation du registre 

a decalage, programmable au moyen d'un campteur . 

Ii » invention prSvoit egalement un circuit de generation 
d'une. quantite secrete interne a un circuit integre, 
comportant : 
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un generateur d'un premier mot numerique propre a la 
puce de circuit Integra et base sur un reseau de param&tre 
physique ; 

plusieurs registres a decalage a retroaction destines 
a recevoir en entree le premier root binaire ; et 

un selecteur d'un des registres a decalage pour 
fournir ladite quantite secrete. 

Selon un mode de realisation de la presente invention, 
la selection operee par le selecteur est destinee a etre 
modifiee en cas de revocation de quantite secrete. 

Selon un mode de realisation de la presente invention, 
le selecteur est constitue d'un multiplexeur de selection d'une 
entree ou sortie parrai les entrees/sorties des registres a 
decalage. 

Selon un mode de realisation de la presente invention, 
des registres de stockage du premier mot et de la quantite 
secrete sont des registres temporairee, le circuit comprenant 
des moyens pour reinitialiser ces elements de memorisation 
temporaire apres une duree predetermined . 

Ces objets, caracteristiques et avantages, ainsi que 
d'autres de la presente invention seront exposes en detail dans 
la description suivante de modes de mise en oeuvre et de 
realisation particuliers faite a titre non-liraitatif en relation 
avec les figures jointes parmi lesquelles : 

la figure 1 reprSsente, de facon tres schematique et 
sous forme de bloc un mode de realisation d'un circuit de 
generation d'une quantite secrete selon la presente invention ; 

la figure 2 repr£sente le schema bloc general d'un. 
registre a decalage a retroaction lineaire utilise dans le 
circuit de la figure 1 ; et 

la figure 3 represente un example simplifi€ d'un 
registre a decalage a retroaction lineaire de quatre bits, 
derive au premier et au quatrieme bit. 

Pour des raisons de clartfi, seuls les Pigments du. 
circuit integre qui sont necessaires a la comprehension de 
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1 • invention ont ete representes aux figures et seront decrits 
par la suite. En particulier, les constituants du circuit 
integre ou de !• element sous -ensemble electronique qui ne font 
pas partie de la generation de la quantite secrete au moyen du 
reseau de parametres physiques caracteristique de 1' invention 
n'ont pas ete illustres et ne font pas l'objet de 1« invention. 
De plus, Sexploitation de la quantite secrete {par exerople par 
un processus d ' authentication ou de cniffrement) qu'elle soit 
interne ou externe au circuit integre n'a pas ete d^taillee, 
1" invention s'appliquant a tout processus classique. 

One caracteristique de la presente invention est 
d'associer a un reseau de parametres physiques fournissant un 
premier mot numerique lie a la fabrication d'un circuit integre, 
au moins un registre a decalage, de preference a retroaction 
lineaire, et d'utiliser le mot numerique fourni par ce registre 
a decalage pour constituer la quantite secrete du circuit 
integre. 

Selon 1' invention, plusieurs registres a decalage a 
retroaction lineaire sont fanctionnellement utilises, On peut 
soit multiplier le nombre de registres physiquement dans la 
cellule de generation du circuit integre soit prevoir un seul 
registre dont on parametre les differentes derivees des bits 
comme on le verra par la suite. 

La figure 1 represente, par une vue tres schematique 
et sous forme de blocs, un mode de realisation d'une cellule 1 
de generation d'une quantite secrete (KEY) d'un circuit integre 
2. 

La cellule 1 comporte essentiellement tin reseau de 
parametres physiques 3 (PEN) lie a la fabrication de la puce du 
circuit integre. Ce reseau de parametres physiques 3 fournit un 
grand nombre de signaux et est associe a un circuit 4 
d' extraction d'un mot binaire representatif du reseau de 
parametres physiques et stocke temporairement dans un element de 
memorisation 5 (REG1) . 
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On pourra utiliaer n'importe quel reseau de parametres 
physiques classique, par exemple consistant a mesurer des 
parametres electriques. II pourra s'agir, par exemple, d'une 
mesure d'une tension seuil d'un transistor, d'une mesure d'une 
resistance ou d'une mesure de capacite parasite, d'une mesure de 
oourant produit par une source de courant, d'une mesure de 
constante de temps (par exemple, un circuit integre) d'une 
mesure d'une frequence d ' oscillation, etc. Oamme ces 
caracteristiques sont sensibles aux dispersions technologiques 
et de precede de fabrication, on peut conslderer que le ou les 
parametres electriques pris en compte sent propres a la 
fabrication et constituent une signature du circuit integre 

correspondent . 

Dans 1' exemple d'une mesure de parametres electriques, 
les signaux sont convertis en' signaux numeriques au moyen d'un 
convertisseur analogique-numerique qui comprend le circuit 
d' extraction 4 et sont le cas echeant multiplexes pour 
constituer le mot numarique stocks dans le registre 5. 

En guise de reseau de parametres physiques, on pourra 
egaleraent recourir a des circuits faisant appel a une mesure 
teraporelle. Par exemple, on mesure le temps de lecture/ecriture 
d'une memoire de type KEPRCM. On exemple de reseau de parametres 
physiques de ce type est decrit dans le brevet americain n° 5818728. 

On pourra encore utiliser un reseau de parametres 
physiques a base de bascules tel que decrit dans la demande de 
brevet francais n" 0104585 de la demanderesse . 

selon la presente invention, la cle KEY est obtenue en 
soumettant le mot binaire extrait du reseau de parametres 
physiques a un registre a decalage a retroaction lineaire 
(Linear Shift Register) . 

Dans le mode de realisation illustre par la figure 1, 
on prevoit n registres a decalage a retroaction lineaire 6 

(LSBKL, LSFRi LSFRn) . Les sorties respective des 

differents registres sont, par exemple, envoyees sur un 
selecteur 7 (SBL) dont la sortie delivre la quantite secrete 
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dans un element de memorisation temporaire 8 (REG2) . En 
variant e, le seiecteur 7 peut 6tre situS en ainont des regietres 
6 plut6t qu'en aval. 

La selection dn registre a retroaction linfiaire 
utilise, done la commanrie du seiecteur 7, est effectiaSe sur la 
base d'un mot binaire de paraxrvStrage g€n§r6 par un compteur 9 
{CO0NT) qui ccoditionne done la quantite secrete courante, 
e'est-a-dire utilis6e tant qu'elle n'a pas ete retvoqu6e. Le 
seiecteur pourra §tre un multiplexeur, ou tout autre moyen 
classique adapts. 

On incremente le compteur a chaque f ois que la dooxnSe 
secrete doit Stre changfie suite a une revocation de la donn^e 
prec6demment utilis^e. On notera que le compteur 9 est modulo le 
nciribre n de registres a dficalage. 

De preference, la cellule 1 fait partie d'une zone 
s§curis6e du circuit integre 2. Par zone securisfee on entend une 
zone protegee centre des attaques par raesure eiectrique directe. 
Par exenple, il peut s'agir d'une cellule noy€e dans une rSsine 
dont la tenpfirature de fusion entralnerait la destruction du 
circuit si un pirate tentait d'en detecter le contenu. 

Selon un autre mode de realisation non represente, on 
utilise un seul registre a decalage a retroaction lineaire dont 
on paraxn&tre les bits derives. Cette caracteristique sera mieux 
carqprise par la suite en relation avec les figures 2 et 3. 

La cellule de generation 1 ccraprend en outre une unite 
centrale 12 (CU) de cammande des differents elements la 
const ituant. L' unite centrale 12 communique, entre autres , avec 
le reste du circuit integra, notamment pour recevoir les 
commandes de generation de la quantite secrete de f agon 
preferentiellement epberaSre lorsqu'elle est requise et pour 
recevoir les commandes necessaires a la generation d'une 
nouvelle quantite secrete suite a une revocation, e'est-a-dire 
une commande declenchant 1 1 incrementation (ou decrementation) du 
compteur 9. 
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On notera que le systdme exploitant la quantite 
secrete ne traite que de la quantity secrete KEY et n'a pas 
besoin de cannaltre la man i fere dont celle-ci est g€n6r€e. Ainsi f 
la cellule de ggniration selon 1" invention est transparente pour- 
5 1» exploitation faite de la quantity secr&te et est done 
compatible avec toute exploitation classique. 

En variante, le campteur 9 est renplace par une liste 
de codes de selection du multiplexeur constituant le selecteur 
7. Ces codes sont stockes en iraSmoire non volatile dans une phase 

10 de param6trage pr6c€dant toute utilisation. 

Le recours a des registres a dScalage a retroaction 
lin§aire constitue un moyen pairticuliferement avantageux et 
simple a raettre en oeuvxe pour rendre une quantity secr&te 
revocable ou f plus prScisfiment, pour permettre un changeraent 

15 d'une quantity secrete d'un circuit intfigre en cas de revocation 
d'une quantity pr6cedente, tout en tirant bSnSfice d'un 
identif iant issu d'un reseau de param&tres physiques et 
notamment le fait qu f un tel identif iant ne peut pas Stxe pirate 
par mesure Slectrique. 

2 0 La figure 2 represente le schema bloc general d'un 

registre a dficalage a retroaction. Un tel registre est 
essentiellement caraposS de deux parties. Un registre a decalage 
20 et une f auction de retroaction 21 (RETRQACT) „ Le registre a 
dScalage 20 constitue une succession de bits Bl, B2, B3, . .., 

25 Bm-1, Bin a la raani&re de tout registre a d&calage. Le rdle du 
bloc 21 constituant la f auction de retroaction est de calculer 
le bit d'entrfie du registre & decalage (le bit Bm) a partiar 
d'une combinai son d ! au mo ins une partie des bits contetxus dans 
le registre, a chaque decalage de la succession de bits. Par 

30 consequent , chaque bit du registre a dScalage 20 peut Stre 
individuellement fourni a la fonction de retroaction 21. La 
sortie du registre a dScalage 20 est, sous une forme s£rie, 
constitute par le bit Bl de poids le plus faible du mot binaire 
du registre. Dans un mode de realisation a sortie paralldle, on 

35 pr£l£ve simul tanement les valeurs de tous les bits du registre a 
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decalage ou d'une partie de ces bits selon la taille du mot 
recherch£. 

Un avantage du recours a un regis tre a decalage est 
que sa realisation est particulierement simple. En guise de 
fonction de retroaction, on pourra utiliser n'iitporte quelle 
fonction classique . On peut aussi envisager d' utiliser une 
fonction de retroaction non lineaire pourvu que celle-ci 
permette de generer en sortie un mot reproductible. Toutefois, 
selon un mode prefers de realisation de 1 ' invention, on utilise 
une fonction de retroaction lineaire qui est une combinaison de 
type OU exclusif de certains bits du registre a decalage. La 
liste de ces bits est generalement designee par 1 ' expression 
sequence de derivation ou configuration de Fibonacci. 

La periode de repetition d'un mot binaire contenu dans 
le registre a decalage depend non seulement du nombre de bits de 
ce registre mais egalement de la fonction de retroaction 
utilisee. Dans un registre a decalage a retroaction lineaire de 
m bits, on dispose de 2 m -l sequences binaires distinctes. En 
d'autres termes, en chargeant les bits successifs fournis sur la 
sortie OUT dans un registre de taille adaptee, on peut °btenir 
des quantites secretes ayant des tallies allant jusqu'a 2 -1 
bits. Cela constitue le mot le plus long avant repetition. Le 
fait d' utiliser un dSchargement en serie du code fourni par le 
registre a decalage a retroaction lineaire permet d'allonger la 
quantite secrete par rapport a la longueur du mot fourni par le 
reseau de parametres physiques. 

La figure 3 represents, pour mieux en comprendre le 
fonctionnement, un registre a decalage a retroaction lineaire 
simplif ie de quatre bits dans lequel la sequence de derivation 
est Bl, B4. En d'autres termes, les bits Bl et B4, 
respectivement de poids le plus faible et le plus fort du mot 
contenu dans le registre 20' sur quatre bits sont combines par 
une parte de type CO Exclusif 21' constituant la fonction de 
retroaction. La sortie de la porte 21 « constitue 1' entree du 
registre a decalage, done 1« entree de la valeur B4. La sequence 
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de sortie OUT est fournie par le bit de poids le plus faible 
(Bl). 

Les contenus successifs du regis tre 20 1 seroat, en 
supposant une initialisation avec la valeur 1000, c'est-^-dire 
5 un chargeraent d'un 6 tat 1 dans le bit B4 apr&s initialisation Sl 
0 de tous les ant res bits : 

1000 ; 1100 ; 1110 ; 1111 ; 0111 ; 1011 ; 0101 ; 1010 ; 
1101 ; 0110 ; 0011 ; 1001 ; 0100 ; 0010 ; 0001 , avant de se 
rSpeter. 

10 lie choix de la sequence de derivation en f auction du 

nombre de cambinaisons possibles avant repetition est & la 
port6e de. l'hamrae du metier en fqnetion de 1 'application. La 
realisation d'un registre & dScalage §L retroaction lineaire, que 
se soit sous forme materielle ou logicielle, est parfaitement 

15 classique. On pourra se ref fixer, par exeiople, a 1 1 ouvrage 
n Cryptogr aphie appliqu^e" de Bruce Schneier edite par Wiley, 
deuxieme edition, page 395 & 401. 

Le mot issu du rSseau 3 et servant Sl fixer la sequence 
initiale des registres 6 peut Stre charge en sSrie ou en 

20 parallele dans ces derniers . En fixant le contenu initial d f un 
registre S, le nombre de cycles de decalage qui est contr&ie par 
l 1 unite 12 et qui est de preference predetermine conditionne, de 
fagon reproductible, le mot final obtenu. 

On voit bien qu'en changeant la sequence de derivation 

25 (ce qui revient au mfime que de sSlectionner un autre registre 6 
de la s£rie de n de la figure 1) , on modifie le mot obtenu pour 
un m§me mot d p entree (avec un meme norabre de cycles de d§calage 
superieur a ra) . En variante, on peut changer le nombre de cycles 
de decalage pour changer de quant ite secrete. 

30 Un avantage de la prSsente invention est qu'elle 

perroet de resoudre les probleraes de revocation des quantites 
secretes obtenues a partir de mots binaires issus de rSseau de 
parametres physiques sans pour autant donner les elements de 
cette procedure anti -revocation au syst&ne d r exploitation des 
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donnees. Par consequent , la solution prevue par 1' invention est 
particulierement fiable et sure. 

Un autre avantage de la presente invention est qu'elle 
permet d'utiliser un seul reseau de parametres physiques tout en 
autorisant la revocation de certaines cles. 

Un autre avantage de la prSsente invention est qu'elle 
preserve le caractere volatil (ephemere) des quantites secretes 
basees sur 1' extraction d'un mot issu de parametres physiques. 

Bien entendu, la presente invention est susceptible de 
diverses variantes et modifications qui apparaltront a l'homme 
de l'art. En particulier, les longueurs des mots binaires 
utilises dependent de 1 ' application et essentiellement des 
processus d' authentication auxquels est destine le circuit 
integre. A cet egard, on notera que 1" invention est compatible 
avec les procedures d' exploitation existantes d'une quantity 
secrete fournie par un circuit integre. 

De plus, la realisation pratique d'un registre a 
decalage a retroaction qu'elle soit lineaire ou non est a la 
portee de l'homme du metier a partir des indications 
fonctionnelles donnees ci-dessus. Le choix entre le recours a 
plusieurs registres a decalage et le recours a un seul registre 
dont on selectionne la sequence de derivation au rooyen de 
commutateurs, pourra s'effectuer par exemple, en f onction de ce 
que l'on souhaite privilSgier entre les elements de memorisation 
et les registres a decalage. 

En outre, le choix du nombre de cycles de decalage 
n'est pas critique pourvu qu'il reste le meme pour une cle 
donnee. lors d'un changement de cle suite a une revocation, on 
peut eventuellement fixer un autre nombre de cycles que ce soit 
pour continuer a utiliser la meme sequence de derivation ou non. 

Bnfin, bien que 1' invention ait ete decrite ci-dessus 
plus particulierement en relation avec une realisation 
materielle, celle-ci pourra etre mise en oeuvre de facon 
logicielle . 
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REVINDICATIONS 



1. ProcSdS de generation d'une quantity secrdte (KEY) a 
partir d'un identifiant d'un circuit integrS <2> , caracterise en 
ce qu'il comprend les € tapes suivantes : 

generer un premier mot numerique a partir d'un reseau 
de parametres physiques (3) ; et 

souroettre ce premier root a an moins un registre a 
decalage a retroaction (6), la sortie dudit registre a decalage 
constituant ladite quantite secrete. 

2. Procede selon la revendication 1, caracterise en ce 
qu'il consiste a soumettre le premier mot a plusieurs registres 
a decalage a retroaction (6), et a selectionner I'm de ces 
registres pour constituer la quantite secrete (KEY) . 

3. precede selon la revendication 2, caracterise en ce 
que la selection est destinee a etre modifiee suite a une 
revocation d'une quantite secrete precedente. 

4. Procede selon l'une quelconque des revendications 1 
a 3, caracterisS en ce que le ou les registres a decalage (6) 
sent a retroaction linSaire. 

5. Procede selon l'une quelconque des revendications 1 
a 4, caracterise en ce qu'il consiste a selectionner un registre 
a decalage parmi plusieurs au raoyen d'un selecteur (7) . 

6. Circuit de generation d'une quantite secrete (KEY) 
interne a un circuit integre (2) caracterise en ce qu'il 
comport e : 

un generateur (4) d'un premier mot numerique propre a 
la puce de circuit integre base sur un reseau de parametres 

physiques (3) ; 

au moins un registre a decalage a retroaction (6) 
destine a recevoir en entree le premier mot et a fournir ladite 
quantity ; et 

un selecteur de la sequence de derivation du registre a 
decalage, programmable au moyen d'un compteur (9) . 
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7. Circuit de generation d'une quantite secrete (KEY) 
interne a un circuit integre (2) caracterise en ce qu'il 
comporte : 

un generateur d'un premier mot numerique propre a la 
puce de circuit integre et base sur un reseau de paramStre 

physique (3) ; 

plusieurs registres a decalage a retroaction (6> 
destines a recevoir en entree le premier mot binaire ; et 

un selecteur (7) d'un des registres a decalage pour 
f ournir ladite quantite secrete. 

8. Circuit selon la revendi cation 6 ou 7, caracterisS 
en ce que la selection operee par le selecteur est destinee a 
etre modifiee en cas de revocation de quantite secrete. 

9. Circuit selon la revindication 7, caracterise en ce 
que le selecteur (7) est constitue d'un multiplexer: de 
selection d'une entree ou sortie parmi les entrees /sorties des 
registres a decalage (6) . 

10. Circuit selon l'une quelconque des revendi cations 6 
a 9, caracterise en ce que des registres (5, 8} de stockage du 
premier mot et de la quantite secrete sent des registres 
temporaires, et en ce que le circuit comprend des moyens (12) 
pour reinitialiser ces elements de memorisation temporaire apres 
une dur6e predeterminee. 
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